Het slechte nieuws is dat het aantal bevestigde datalekken en security-incidenten wereldwijd nog altijd toeneemt. Het goede nieuws is dat we al deze gevallen kunnen analyseren zodat we duidelijke patronen kunnen identificeren die een beeld geven van de werkwijze van cybercriminelen. En dat is exact wat het Verizon 2020 Data Breach Investigations Report doet. Opdat wij allen leren.
Als je te weten wilt komen hoe cyberaanvallers te werk gaan, zul je in hun huid moeten kruipen. Het begint met op het eerste gezicht eenvoudige vragen als: Wie zijn het? Wat is hun drijfveer? Welke tactieken gebruiken zij? Welke IT-assets zijn het vaakst slachtoffer? Vervolgens moet je de kennis verdiepen en verbreden en kom je uit bij vervolgvragen.
Als zij eenmaal binnen zijn, welk type malware laten zij dan achter? Wat doen ze wanneer ze inlognaam en wachtwoord hebben buit gemaakt? Welke gevolgen zijn er als er gijzelsoftware op je systemen is geïnstalleerd? Door voor jezelf als organisatie antwoord te geven op dit soort vragen, kun je je veel beter voorbereiden op naderend onheil. Want de vraag is immers niet of, maar wanneer je slachtoffer wordt van een cyberaanval.
Gestolen credentials
En misschien is die nu wel aan de gang. Het is dan ook van belang dat we allemaal ophouden een security-incident te zien als een gebeurtenis op één bepaald tijdstip. Het moment dat je een aanval detecteert is inderdaad één moment, maar dan weet je dat er een meer of minder complex traject aan vooraf is gegaan. Weet ook dat cyberaanvallers een ouderwetse ‘bankroverstactiek’ als voorkeur hebben. Ze stormen de bank binnen, roepen ‘handen omhoog’ en nemen de buit mee. Ze hebben hooguit twee of drie stappen nodig om er met de cash vandoor te kunnen gaan. Vertaal dit naar een cyberaanval.
Ze lanceren een phishing campagne waarbij medewerkers van een organisatie aangespoord worden om op een nagemaakt portal in te loggen, zogenaamd om hun thuiswerkaccount te bevestigen – in een kwart van het aantal bevestigde datalekken in het DBIR was phishing de oorzaak. Met deze gestolen credentials kunnen de cyberaanvallers binnendringen in een webserver en op zoek gaan naar waardevolle data, die vervolgens in harde euro’s kunnen worden aangeboden. Het zijn slechts twee stappen, snel verdiend dus. Wellicht overwegen ze een derde stap, als het verdienmodel interessanter is, en planten bijvoorbeeld een tool op die server die sec het betalingsverkeer monitort.
Achterdeur open
Een van de aanbevelingen uit het DBIR is dan ook om ervoor te zorgen dat cyberaanvallers meer stappen moeten zetten om bij hun uiteindelijk doel te komen. Dit betekent dat alles wat je gemakkelijk op hun route kunt gooien om het aantal acties dat ze moeten ondernemen te laten toenemen, de kans dat zij er met gegevens vandoor gaan aanzienlijk doet slinken. Two-factor of, nog beter, multi-factor authenticatie is dan ook van essentieel belang. Niet zaligmakend, maar iedere stap extra helpt.
Een andere aanbeveling in dit opzicht is terug en vooruit te kijken wanneer je een afwijking constateert. Ontdek je een stukje malware, dan weet je dat die ergens vandaan moet komen. Zoek uit welke achterdeur open staat en doe hem dicht om schade in de toekomst te voorkomen. En aan de andere kant, herkent een van je medewerker een phishing mail (maak het medewerkers van de maand!) dan wil je weten waar de cyberaanvaller uiteindelijk naar op zoek was.
Hoewel de oceaan waarin hij kan vissen immens groot blijft, sluit je zo het net rondom de cyberaanvaller stukje bij beetje. Je moet ergens beginnen.
